La cantidad de alertas de seguridad que llegan a tu bandeja de entrada puede ser abrumadora; muchos desarrolladores lo han experimentado. Desde GitHub, hemos visto cómo puede resultar desalentador clasificar estas alertas de vulnerabilidad. Si bien Dependabot es eficaz para detectar problemas, sin una forma inteligente de priorizarlos, se puede perder tiempo en asuntos menores, o, lo que es peor, pasar por alto los problemas críticos que se esconden en medio de tantas notificaciones.
Hemos combinado nuestras perspectivas, una desde la defensa de la seguridad y otra desde el flujo de trabajo del desarrollador, para revelar cómo utilizamos el Exploit Prediction Scoring System (EPSS) y las propiedades de los repositorios para transformar el caos en claridad, facilitando decisiones de priorización informadas.
En el contexto actual de desarrollo de software, no solo se trata de escribir código, sino de ensamblar aplicaciones a partir de múltiples paquetes de código abierto. De hecho, un impresionante 96% de las aplicaciones modernas depende de software de código abierto, lo que las convierte en un objetivo privilegiado para actores maliciosos. Ante esta realidad, los desarrolladores se enfrentan a un sinfín de vulnerabilidades reportadas cada año, siendo fundamentales entender no solo cómo abordarlas, sino cómo priorizarlas de manera inteligente según la arquitectura de la aplicación y el contexto del negocio.
En cuanto a la priorización, muchas organizaciones siguen confiando únicamente en las puntuaciones de severidad como las del Common Vulnerability Scoring System (CVSS). Sin embargo, no todas las vulnerabilidades catalogadas como «críticas» tienen la misma probabilidad de ser explotadas. Aquí es donde entra en juego el EPSS, que mide la probabilidad de que una vulnerabilidad sea efectivamente aprovechada en el mundo real dentro de un periodo de 30 días. En términos sencillos, mientras el CVSS te dice qué tan grave sería el daño, el EPSS te indica qué tan probable es que alguien intente aprovechar esa vulnerabilidad.
Para lograr una priorización eficaz, se pueden seguir algunos pasos inteligentes. Primero, es útil combinar las puntuaciones EPSS y CVSS, equilibrando la probabilidad de explotación con el impacto potencial. Asimismo, es importante aprovechar las propiedades del repositorio para una priorización contextual, teniendo en cuenta si un repositorio es público o privado, si maneja información sensible y con qué frecuencia se despliega. También, establecer Acuerdos de Nivel de Servicio (SLA) claros según los niveles de riesgo ayuda a clasificar la urgencia de cada alerta.
La multitud de reglas de auto-clasificación de GitHub facilita la gestión de alertas de seguridad, permitiendo la creación de criterios customizados basados en distintos factores. Esto permite manejar alertas a gran escala y enfocar recursos donde realmente son necesarios.
Cuando una organización acierta en la priorización, puede experimentar mejoras significativas en la gestión de la seguridad. Estudios demuestran que concentrarse en solo el 10% de las vulnerabilidades potencialmente explotadas puede resultar en una cobertura del 87%, lo que reduce los esfuerzos de remediación en un 83%. Este enfoque no solo ahorra tiempo y recursos, sino que también genera una comprensión más clara entre los equipos sobre las decisiones de seguridad, fomentando la confianza y la colaboración.
Para empezar a manejar adecuadamente esas alertas, es fundamental activar las actualizaciones de seguridad de Dependabot, establecer reglas de auto-clasificación y definir criterios de priorización claros. Con estos pasos, los equipos no solo pueden reducir la sobrecarga de alertas, sino que también asegurar que sus esfuerzos estén dirigidos a mantener el código seguro y a proteger a sus clientes de manera efectiva.
vía: GitHub Security
